La técnica de ataque de &#39huella dactilar&#39 manipula …



Los investigadores exploran el robo de huellas digitales, un ataque basado en la interfaz de usuario que tiene como objetivo las huellas digitales escaneadas en aplicaciones de Android.

Muchos teléfonos inteligentes modernos tienen un escáner de huellas dactilares para autorizar el acceso al dispositivo y habilitar el inicio de sesión de la cuenta, la autorización de pago y otras operaciones. El escáner está diseñado para una autenticación segura, pero los investigadores están encontrando nuevas formas de manipularlo para obtener ganancias maliciosas.

Xianbo Wang, un Ph.D. estudiante de la Universidad China de Hong Kong, presentó hoy una investigación que realizó junto con el profesor asociado Wing Cheong Lau, el estudiante de maestría Yikang Chen, Ph.D. el candidato Shangcheng Shi y el experto en seguridad de Sangfor Technologies, Ronghai Yang.

En su charla de Black Hat Europe, Wang explicó cómo estaba buscando errores en una aplicación de billetera móvil cuando encontró una táctica para habilitar el «robo de huellas dactilares», que es un ataque basado en la interfaz de usuario que tiene como objetivo las huellas dactilares en aplicaciones de Android. El término proviene de clickjacking, dijo, ya que este tipo de ataque oculta una interfaz de aplicación maliciosa debajo de una cubierta falsa.

Wang inició su charla con una demostración. En un dispositivo con Android 10, abrió la aplicación Magisk, que puede controlar las aplicaciones en un dispositivo que tiene acceso de root. Luego lanzó una sencilla aplicación de diario mientras veía, apareció la interfaz de una pantalla de bloqueo. Se usó una huella digital para desbloquear el dispositivo y se dirigió al usuario a la aplicación de diario. Sin embargo, cuando se volvió a abrir la aplicación Magisk, mostró que la aplicación del diario ahora tenía acceso de root en el dispositivo.

«Nuestra observación, nuestra motivación, es que hoy en día las personas usan sus huellas digitales en todas partes, especialmente en dispositivos móviles, para diferentes propósitos», dijo Wang. Por ejemplo, las huellas dactilares se utilizan para abrir aplicaciones, autorizar transferencias de dinero y habilitar una miríada de otros procesos móviles sensibles.

«El objetivo de este ataque es engañar al usuario para que autorice algunas acciones peligrosas sin darse cuenta», agregó. Los investigadores descubrieron cinco nuevas técnicas de ataque, todas las cuales se pueden lanzar desde aplicaciones maliciosas de Android sin permiso. Algunos pueden evitar las contramedidas introducidas en Android 9, y uno es efectivo contra todas las aplicaciones que se integran con la API de huellas digitales.

En el ciclo de vida de la actividad de Android, solo una actividad puede estar en estado de «ejecución» en un momento dado. Cuando una actividad no está en primer plano, debe haberse detenido, pero es posible que no se haya detenido si aún está seen. Normalmente, cuando una aplicación realiza la autorización de huellas digitales, inicia una nueva actividad que contiene la funcionalidad de autenticación de huellas digitales. La actividad de huellas dactilares pasa por las etapas de actividad standard de creación, inicio y reanudación, y luego se detiene cuando está en segundo plano.

La pregunta importante para los atacantes es si la actividad de huellas dactilares puede seguir escuchando las entradas de huellas dactilares cuando otra aplicación está en primer plano. Wang explicó que sí, Android tiene mitigación para bloquear este tipo de actividad. Sin embargo, el equipo de investigación encontró algunas formas de evitar esto.

Así es como funciona un ataque: los investigadores asumen que el dispositivo de la víctima tiene una aplicación maliciosa instalada esto puede disfrazarse como una aplicación benigna. Después de la configuración del ataque, esta aplicación maliciosa puede iniciar la autenticación de huellas dactilares en la aplicación de destino y usar contenido visual para atraer a una víctima a ingresar su huella dactilar. Estos se envían a la aplicación en segundo plano y se utilizan para autorizar otras pantallas.

¿Qué tipo de configuración de ataque puede habilitar esto? «Para introducir eso, debemos considerar los patrones de implementación de diferentes aplicaciones y las diferentes versiones del sistema operativo Android», dijo Wang. Idealmente, un atacante querría que la aplicación maliciosa no requiera permisos, ni durante la instalación ni cuando la aplicación se está ejecutando. También querrían que el ataque funcionara en los últimos teléfonos Android.

La capacidad de las aplicaciones para escuchar la entrada de huellas digitales en segundo plano depende de la versión de Android. Si un teléfono objetivo ejecuta Android 7 o Android 8, las aplicaciones generalmente pueden escuchar la entrada de huellas digitales, dijo Wang. A partir de Android 9, Google agregó mitigaciones a la API FingerprintManager para bloquear las entradas de huellas digitales en segundo plano.

«Antes de Android 9, no había protección a nivel del sistema, por lo que las aplicaciones deben bloquear la entrada de huellas digitales en segundo plano por sí mismas», explicó.

Sin embargo, en la técnica de ataque más poderosa que descubrieron, los investigadores pudieron romper las mitigaciones de Android. El «ataque de carrera» explota un comportamiento de ciclo de vida cuando se inician dos actividades en un período corto de tiempo, lo que permite un ataque de robo de huellas dactilares. El equipo informó de este problema a Google en junio. Se le ha asignado CVE-2020-27059 y se lanzará un parche en el boletín de seguridad de Android de enero de 2021.

En una evaluación de 1.630 aplicaciones de Android que utilizan la API de huellas digitales, el equipo encontró 347 (21,3%) con diferentes problemas de implementación. Han realizado ataques de prueba de concepto en algunas aplicaciones populares en las que pudieron robar dinero de una aplicación de pago con más de 1 millón de usuarios y obtener acceso de root en la aplicación de administrador de root más utilizada.

Wang recomendó a los desarrolladores que utilicen la API biométrica androidx (.) De Android X, que es un contenedor para FingerprintManager y BiometricPrompt API con implementación segura. Les instó a usar las bibliotecas de terceros con cuidado, ya que algunas de las bibliotecas no oficiales que los investigadores probaron eran vulnerables a los ataques de robo de huellas dactilares. Y finalmente, sugirió que verificaran sus implementaciones existentes. Si utilizan la API FingerprintManager, los desarrolladores deben asegurarse de que su aplicación cancele explícitamente el proceso de autenticación de huellas digitales cuando se pausa una aplicación.

Kelly Sheridan es la editora de private de Dark Looking at, donde se enfoca en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia original